Malware PikaBot distribuito insieme a DarkGate
Le campagne di phishing che utilizzano famiglie di malware come DarkGate e PikaBot utilizzano strategie che ricordano gli attacchi precedenti che hanno coinvolto l'ormai defunto trojan QakBot. Secondo un rapporto di Cofense condiviso con The Hacker News, queste tattiche includono l'avvio di infezioni attraverso thread di posta elettronica compromessi, l'utilizzo di URL con modelli distinti per limitare l'accesso degli utenti e l'impiego di una catena di infezione molto simile a quella della consegna di QakBot.
Le famiglie di malware scelte si allineano anche con le aspettative di utilizzo da parte degli affiliati QakBot. QakBot, noto anche come QBot e Pinkslipbot, è stato smantellato come parte dell'operazione Duck Hunt in agosto.
L’adozione di DarkGate e PikaBot in queste campagne non sorprende, data la loro capacità di fungere da canali per fornire carichi utili aggiuntivi agli host compromessi, rendendoli opzioni allettanti per i criminali informatici. Zscaler aveva precedentemente evidenziato i parallelismi tra PikaBot e QakBot in un'analisi del maggio 2023, rilevando somiglianze nei metodi di distribuzione, nelle campagne e nei comportamenti del malware.
DarkGate, dal canto suo, impiega tecniche avanzate per eludere il rilevamento antivirus, tra cui la registrazione dei tasti premuti, l'esecuzione di PowerShell e l'implementazione di una shell inversa che consente agli operatori di controllare da remoto un host infetto, secondo un rapporto tecnico di Sekoia.
In un’analisi approfondita della campagna di phishing ad alto volume, Cofense ha rivelato che essa prende di mira una vasta gamma di settori. Le catene di attacco coinvolgono URL intrappolati all'interno di thread di posta elettronica compromessi, indirizzando gli utenti a un archivio ZIP. Questo archivio contiene un dropper JavaScript che si collega a un secondo URL per scaricare ed eseguire il malware DarkGate o PikaBot.
Una variante notevole degli attacchi utilizza file aggiuntivi di Excel (XLL) invece di dropper JavaScript per fornire i payload finali. Un'infezione riuscita da parte di DarkGate o PikaBot potrebbe comportare l'implementazione di software avanzati di mining di criptovalute, strumenti di ricognizione, ransomware o qualsiasi altro file dannoso scelto dagli autori della minaccia, come riportato da Cofense.